[iptables] questions de noob

Le
Nicolas-MICHEL'_remove_'
Bonjour

J'ai quelques questions à propos de la config de iptables.
C'est pas qu'il manque de la doc, au contraire, mais je ne comprends pas
tout.

Déjà, dans plein de sites je vois une manière d'écrire les script avec
des trucs du genre :

iptables -A INPUT
iptables -A INPUT
iptables -A INPUT


mais j'ai l'habitude de rempomper une config existante où je place dans
/etc/sysconfig/iptables une syntaxe de ce genre :

*filter
:INPUT DROP [0:0]

-A INPUT
-A INPUT

COMMIT

Ce fichier est chargé via le /etc/init.d/iptables de fedora qui contient
ce truc :

$IPTABLES-restore $OPT $IPTABLES_DATA

J'ai vaguement le sentiment que la première syntaxe ne s'utilise pas en
tant qu'option, mais j'ai en fait rien capté.
Y a-t-il une syntaxe meilleure que l'autre, une façon différente de les
utiliser, bref pourquoi cette différence ?



La 2ème question concerne l'activation des logs.

J'ai trouvé un exemple

iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP

et tenté d'insérer ces 3 lignes avec puis sans le "iptables" dans mon
fichier, mais ça veux pas, au lancement du service j'ai une erreur
B"a"d" "a"r"g"u"m"e"n"t" "'-N"'". Comment corriger ça ?

En fait je crois que je n'ai pas compris ce concept de "chain" dans
iptables. Vous auriez une référence claire à me faire lire ?

Mille merci d'avance :)

--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas-MICHEL'_remove_'
Le #1903983
encore une autre question ...

Je dois router l'impression depuis un serveur d'impression spécifique
vers une imprimante spécifique. Et ce en LPR.

J'ai mis cette règle, qui me semble simpliste et pourtant ça ne passe
pas :

-A PREROUTING -i eth0 -p tcp --dport 515 -j DNAT --to-destination
130.223.212.60

C'est parce que le LPR n'est pas du tcp, que c'est pas le dport 515 ou
c'est quoi le truc ? je ne piges pas ...

Mille merci d'avances :)
--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas
Nina Popravka
Le #1906121
On Fri, 2 Nov 2007 18:33:04 +0100, Nicolas-MICHEL'_remove_'@bluewin.ch
(Nicolas MICHEL) wrote:

C'est parce que le LPR n'est pas du tcp,
Si.

que c'est pas le dport 515
Ca pourrait aussi être du 9100

--
Nina

Nicolas-MICHEL'_remove_'
Le #1906087
Nina Popravka
On Fri, 2 Nov 2007 18:33:04 +0100, Nicolas-MICHEL'_remove_'@bluewin.ch
(Nicolas MICHEL) wrote:

C'est parce que le LPR n'est pas du tcp,
Si.

que c'est pas le dport 515
Ca pourrait aussi être du 9100



C'est à dire que j'ai testé à peu près tout, y compris le fowrard de
tout ce qui vient de mon serveur d'impression vers l'ip de l'imprimante.
Donc si ça avait été le mauvais port, en les forwardant tous ça aurait
dû passer.

Je ne connais pas grand-chose aux protocoles d'impression, mais je me
dit que ça doit venir de l'uri ou du nom de la queue qui spécifierait le
nom de la passerelle plutôt que le nom de l'imprimante ... Un truc genre
socket://passerelle:9100
ou encore
lpd://passerelle/print




Ou alors c'est une couille dans iptables.
J'ai actuellement ceci :

# cat /etc/sysconfig/iptables |
grep -vE "^#" |grep -vE "^$"
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp -s 130.223.212.0/23 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp --dport 515 -j DNAT --to-destination
130.223.212.54
-A PREROUTING -i eth0 -p tcp --dport 9100 -j DNAT --to-destination
130.223.212.54
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT


Une idée ?

Mille merci d'avance :)
--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas


Publicité
Poster une réponse
Anonyme